Công nghệ cảm biến vân tay Touch ID của Apple được biết đến là lớp bảo vệ tin cậy cho người dùng, tuy nhiên công nghệ này đang bị hacker lợi dụng để lừa lấy tiền của người dùng.
Theo hãng bảo mật ESET (Mỹ), một số ứng dụng lừa đảo liên quan đến việc tập thể dục trên hệ điều hành iOS đang lợi dụng nền tảng công nghệ cảm biến vân tay Touch ID của Apple để đánh lừa người dùng trong việc sử dụng dấu vân tay của họ để thực hiện các giao dịch thanh toán.
Hai ứng dụng lừa đảo này có tên gọi Fitness Balance và Calories Tracker. Bằng cách sử dụng tính năng được xem như một phần của việc “theo dõi hoạt động tập thể dục”, hai ứng dụng này sẽ yêu cầu người dùng quét vân trong 10 giây để tạo ra thực đơn ăn uống dành cho người tập và một số thông tin khác được cá nhân hóa.
Tuy nhiên, khi ngón tay của người dùng được đặt trên máy quét, ngay lập tức một thông báo của ứng dụng sẽ xuất hiện, yêu cầu người dùng thực hiện thanh toán số tiền 99,99 USD. Do ngón tay người dùng đã đặt sẵn trên máy quét vân tay, nên yêu cầu thanh toán sẽ được chấp thuận gần như ngay lập tức.
Các chuyên gia cho rằng thủ thuật này rất nguy hiểm, bởi tính năng Touch ID là một quá trình gần như liền mạch. Để thực hiện nhanh và tiện lợi cho người dùng, điện thoại sẽ quét dấu vân tay được đặt ngay khi yêu cầu thanh toán hiện ra. Tốc độ quét rất nhanh của Touch ID cũng đồng nghĩa với việc: khi người dùng nhận ra có điều gì đó bất thường đang diễn ra thì việc thanh toán đã được thực hiện.
Thực tế hiện nay, nhiều ứng dụng được cung cấp trên App Store cho phép cung cấp thông tin sức khỏe bằng cách này. Ví dụ như tính năng EKG trên Apple Watch Series 4 cho phép người dùng đặt ngón tay lên nút bấm bên cạnh thiết bị để đo dữ liệu nhịp tim. Mặc dù tính năng này không liên quan gì đến máy quét vân tay, nhưng rõ ràng nó đã đánh lừa được người dùng khi họ nghĩ rằng một chiếc iPhone cũng có thể làm điều tương tự như vậy.
Theo các chuyên gia bảo mật của ESET, dựa trên các điểm tương đồng về UI và chiến thuật lừa đảo, nhiều khả năng cả hai ứng dụng lừa đảo nói trên đều được một nhà phát triển tạo ra. Hiện tại, cả hai ứng dụng này đều đã bị xóa khỏi App Store. Tuy nhiên, Apple cần giám sát chặt chẽ loại hình tấn công qua giao diện này trong tương lai.
Nhật Minh
PC World
10:58 | 03/02/2016
14:09 | 10/02/2014
14:19 | 25/05/2015
09:00 | 27/09/2019
10:00 | 24/04/2024
Một nhóm tin tặc được cho là từ Việt Nam đang nhắm mục tiêu vào các tổ chức tài chính ở châu Á để đánh cắp các dữ liệu tài chính.
09:00 | 17/04/2024
Một nhà nghiên cứu bảo mật có biệt danh Marco Croc từ Kupia Security đã được thưởng 250,000 USD vì phát hiện ra một lỗ hổng mà trong lịch sử đã cho phép tin tặc rút hàng triệu USD từ các giao thức tiền điện tử. Lỗ hổng này tái xuất hiện trong giao thức tài chính phi tập trung (DeFi) Curve Finance.
10:00 | 28/03/2024
Các nhà nghiên cứu phát hiện nhóm ransomware ShadowSyndicate đang quét các máy chủ tồn tại lỗ hổng directory traversal định danh CVE-2024-23334, hay còn gọi là lỗ hổng path traversal trong thư viện Aiohttp của Python.
07:00 | 18/01/2024
Một kỹ thuật khai thác mới có tên là SMTP Smuggling có thể được tin tặc sử dụng để gửi email giả mạo có địa chỉ người gửi giả và vượt qua các biện pháp bảo mật.
Một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều ngôn ngữ lập trình cho phép kẻ tấn công chèn lệnh vào các ứng dụng Windows.
09:00 | 03/05/2024